67.
117. 118. Засоби
адміністрування комп'ютерного класу.
У наш час існує безліч засобів для віддаленого управління
і адміністрування комп'ютерів мережі. Засіб управління комп'ютером може бути
підключене і до віддалених машин для виконання досить широкого кола задач, але
далеко не всіх. Велика кількість проблем пов’язані з обслуговуванням,
адмініструванням та управлінням робочими станціями розв'язується тільки при
безпосередньому доступі до файлової системи. Проте, якщо комп'ютер працює,
підключений до мережі, а задача полягає в зміні яких-небудь параметрів системи,
або виконанні обслуговуючих операцій, то присутність адміністратора біля
робочої станції не обов'язкова.
Найдоступніша для віддаленого управління робочими
станціям мережі - програма Telnet. Telnet-клієнт існує у всіх операційних
системах Windows. Сервер Telnet вбудований тільки в системи, починаючи з
Windows 2000 і старше. Для запуску цього серверу на робочих станціях мережі
можна скористатися засобом Управление комп’ютером, або Службы (Services) з
папки Администрирование.
Якщо на кожній робочій станції запущений сервер Telnet,
ви можете на них виконувати практично всі операції, доступні з командного
рядка: підключати і відключати мережеві диски, копіювати файли, запускати на
виконання програми і командні файли. На жаль, цим способом неможливо встановити
складні пакети програм, подібні Microsoft Office, але для установки простих
програм, що не вимагають складних процедур реєстрації, а також для проведення
операцій з файлами і папками цей засіб цілком підходить. Можливо, що для
нормальної роботи з Telnet-сервером на робочих станціях, що працюють під
управлінням Windows 2000/XP Professional, первинну настройку доведеться
виконувати безпосередньо на робочих місцях. Щоб запустити цю службу, скористайтеся
наступною командою з командного рядка:
net start telnet
Якщо потрібно, щоб сервер стартував автоматично при
запуску системи, слід змінити режим запуску з ручного на автоматичний.
За умовчанням сервер намагається аутентифікувати клієнта
по схемі NT LAN Manager (NTLM), що дозволяє реєструватися автоматично, якщо
підключення відбувається з комп'ютера, де ви вже зареєстровані як адміністратор
домена. Для віддаленого доступу за межами локальної мережі це незручно; щоб
змінити режим аутентифікації, спочатку потрібно запустити з командного рядка
утиліту адміністрування сервера Telnet командою:
Tlntadmn config sec = -NTLM + passwd
Рис. 3.1. Служба Telnet на віддаленому комп'ютері
Після встановлення параметрів аутентифікації ви зможете
управляти робочими станціями з будь-якої точки мережі і навіть через Інтернет,
авторизувавши себе як адміністратор цієї робочої станції. Якщо доступ до
робочих станцій здійснюється тільки з локальної мережі, то режим аутентифікації
слідує встановити наступною командою:
Tlntadmn config sec = +NTLM +passwd
Діставши доступ до робочої станції, ви можете виконати на
ній всі програми, які не використовують графічний інтерфейс.
3.1.2. Задачі, доступні через Telnet
Defrag - кожна робоча станція мережі вимагає періодичного
обслуговування. Одна з періодично виконуваних операцій - дефрагментація дисків.
Через Telnet доступна команда Defrag. Програма, що викликається цією командою,
не має графічного інтерфейсу, всі звіти виводяться в текстовому вигляді на
екран, або у файл. Команда може виконуватися у фоновому режимі. Це означає, що
користувач продовжуватиме роботу, не підозрюючи, що в цей час проводиться
обслуговування його робочого місця. Наприклад, Defrag С: \ /а — виводить звіт
про аналіз тому С:\ на необхідність проведення дефрагментації.
Schtasks - команда дозволяє створити “завдання” подібно
тому, як це робиться в планувальнику завдань Windows. Більш відомий аналог цієї
команди - команда At.
Ipconfig - як і при роботі на локальній машині, дана
команда дозволяє переглянути і відновити конфігурацію IP-протоколу. У режимі
віддаленого доступу команда буде доступна, якщо комп'ютер працездатний і
IP-протокол функціонує правильно. Тому застосування цієї команди на віддалених
робочих станціях в основному обмежене - дозволяє тільки отримати відомості про
конфігурацію шляхом введення команди:
ipconfig /all
Ping - для перевірки зв'язку між двома вузлами служить
утиліта Ping. Ця утиліта посилає на вказаний вузол пакети луна-запиту протоколу
ICMP і рахує отримані від нього пакети луна-відповіді, щоб перевірити, чи
доступний цей вузол взагалі і чи надійний зв'язок (яка частка пакетів, що
загубилися по дорозі). Послідовно тестуючи з'єднання з кожним вузлом, можна
знайти місце, в якому зв'язок обірвався.
Chcp - у ряді випадків, ми можемо зустрітися з
ситуаціями, коли на екран сеансу Telnet, або просто командного рядка виводяться
різні символи. Для узгодження кодової сторінки, в якій здійснюється вивід
інформації, з кодовою сторінкою самого вікна сеансу роботи, і може бути
використана ця команда з наступними параметрами:
· chcp 866 -
включає вивід в кодуванні DOS;
· chcp 1251-
вивід в кодуванні Windows;
· Chcp (без
параметрів) - показати поточну кодову сторінку).
Цікаво, що навіть вбудовані в Windows програми командного
рядка не завжди коректно виводять свої повідомлення, особливо при віддаленому
доступі до комп'ютера. Іноді є необхідність виконати цілу серію команд,
результат яких виводиться в різних кодуваннях. Для прискорення роботи в
подібних випадках краще виконувати команди з перенаправленням виводу в
текстовий файл. Потім слід скопіювати цей файл на свій комп'ютер і читати його
за допомогою файлового менеджера FAR. У цьому файловому менеджері перемикання кодування
при читанні файлу виконується натисненням кнопки <F8>.
Оpenfiles - команда дозволяє побачити перелік відкритих
мережевими користувачами загальних файлів. Використовувані параметри:
· openfiles.exe
/query - основний варіант виконання команди;
· openfiles.exe
/query /fo table /nh - вивід інформації у вигляді таблиці без заголовка;
· openfiles.exe
/query /s srvmain /u maindom\hiropln /p p@ssW23 -вивід інформації про відкриті
файли на іншому комп'ютері мережі.
При використовуванні Telnet для зв'язку з мережею з
Інтернету паролі і імена користувачів передаються у відкритому вигляді. Тому
застосовувати цей протокол краще вже усередині мережі, а з Інтернету
використовувати даний варіант зв'язку з мережею тільки у виняткових випадках і
обмежено.
3.2.1 Remote Administrator 2.2
Як альтернативний варіант підключення до серверу мережі з
Інтернету, можна застосувати і програму віддаленого адміністрування Remote
Administrator. Radmin – одна з кращих програм віддаленого адміністрування для платформи
Windows, яка дозволяє повноцінно працювати відразу на декількох віддалених
комп’ютерах за допомогою звичайного графічного інтерфейсу. Програма може бути
локалізована на будь-якій мові. Ця програма дозволяє вам працювати на
віддаленому комп’ютері, при цьому ви бачимете екран віддаленого комп’ютера на
своєму робочому столі у вікні, а ваша миша і клавіатура замінюють мишу і
клавіатуру на віддаленому комп’ютері. На відміну від програми дистанційного
керування робочим столом, Radmin не дозволяє працювати з відеопрогравачами,
одержувати з їх допомогою звуки. Ця програма призначена тільки для
адміністрування віддалених робочих станцій.
Radmin складається з двох частин:
· Сервер
(Radmin Server) на віддаленому комп’ютері перехоплює зображення з екрану і
посилає його клієнту.
· Клієнт
(Radmin Viewer) відображає екран віддаленого комп’ютера на моніторі локального
комп’ютера.
На рис. 2 зображено вікно програми під час роботи.
Рис. 3.2. Вікно Radmin під час роботи
Для установки з’єднання потрібно запустити Radmin Server
на віддаленому комп’ютері, після чого – запустити Radmin Viewer на своєму
власному (локальному) комп’ютері і вказати IP-адресу, або DNS-ім’я віддаленого
ПК. Необхідною умовою для роботи Radmin є наявність TCP/IP-з’єднання між
серверною і клієнтської частинами.
Програма має декілька режимів роботи:
• Режим повного контролю
• Режим перегляду
• Режим командного рядка (Telnet)
• Режим обміну файлами
Крім того, в останній версії Radmin Viewer передбачені
режими, підтримка яких повинна з’явитися найближчим часом і в серверній частині
програми, яка установлена на комп’ютері, з яким здійснюється зв’язок. Це режими
текстового і голосового чату, а також відправка коротких текстових повідомлень.
Вони призначені для віддаленої роботи з користувачем, або помічником
адміністратора.
3.2.2 Можливості програми
Підтримка декількох підключень - Radmin Server може
одночасно приймати декілька підключень від різних клієнтів.
Технологія відео-перехоплення - у середовищі Windows NT
4.0 Radmin Server використовує драйвер відео-перехоплення, що підвищує його
продуктивність в десятки разів. Це дозволяє працювати на віддаленому комп'ютері
з більшою швидкістю (сотні оновлень екрану в секунду).
Обмін файлами - дозволяє копіювати файли з одного
комп'ютера на іншій. Інтерфейс режиму обміну файлами аналогічний інтерфейсу
Провідника Windows, знайомому всім користувачам, що істотно спрощує освоєння
програми. Реалізована «докачка» файлів: у випадку збою мережі можна продовжити
передачу файлу з моменту збою, а не із самого початку.
Віддалене виключення комп'ютера - дозволяє
перезавантажити, або вимкнути комп'ютер всього двома клацаннями миші.
Режим Телнет - надає доступ в режимі командного рядка,
аналогічному Тенет - підключення до віддалених комп'ютерів з ОС Windows
NT/2000/XP/2003. Ключі командного рядка Radmin Viewer та Radmin Server наведені
в додатках (відповідно Додаток 1 і Додаток 2). Для більшості користувачів немає
потреби працювати з інтерфейсом командного рядка. Ці ключі призначені для
використовування системними адміністраторами. За допомогою цих ключів можна
вручну встановлювати, або видаляти модулі Radmin (службу і драйвер), міняти
номер порту і т.д.
Підтримка системи безпеки NT - можна дати дозвіл на
підключення в будь-якому з режимів - Повний контроль, Перегляд, Телнет, Обмін
файлами і Переадресація - будь-якому користувачу, або групі користувачів з
NT-домена, або активного каталога (Active Directory). Якщо авторизований в
NT-домені користувач спробує підключитися до Radmin Server, для перевірки прав
будуть використані його поточні дані. Безпосередній запит імені користувача,
пароля і домена відбувається тільки тоді, коли поточний користувач не має прав
на підключення.
Захист паролем - якщо система безпеки NT вимкнена, то
доступ до Radmin Server контролюється паролем. У основі парольної
аутентифікації лежить класичний дуже простий і надійний challenge-response
authorization алгоритм вигляду.
ІР -фільтрація - можливість дозволити доступ до Radmin
Server тільки з IP-адрес і з підмереж, вказаних у складеному користувачем
списку. Якщо IP-адреса і маска під мережі, що підключається співпадають з одним
з рядків фільтру, то буде встановлене з'єднання, інакше клієнт отримає
повідомлення «Помилка введення/виведення з’єднання. Підключення перервано.
Вірогідна причина - настройки IP-фільтрації на віддаленому комп'ютері»
(Connection I/O error, connection may be closed due to IP Filter on the remote
side).
3.2.3 Безпека Radmin
Дуже велика увага при розробці Radmin була надана системі
безпеки. І це цілком зрозуміло, адже для програми такого класу захищеність -
найважливіша властивість. Програмісти постаралися зробити Radmin стабільною і
безпечною програмою віддаленого адміністрування.
· Radmin 2.2
підтримує систему безпеки Windows NT/2000/XP/2003. З підтримкою можливості
надавати права для віддаленого доступу конкретному користувачу, або групі
користувачів. У версії 2.2 використаний новий модуль авторизації, повністю
сумісний з NTLMv2 і інтегрований з ОС. Права на доступ до Radmin Server можуть
надаватися користувачам з доменів, з якими встановлені довірчі відносини
(trusted domains) і активних каталогів (active directories). Інтерфейс вікна
настройки прав уніфікований із стандартом Windows.
· Якщо
підтримка системи безпеки Windows NT відключена, то доступ до комп'ютеру
контролюється паролем. Radmin використовує аутентифікацію із запитом і
підтвердженням. Цей метод аналогічний тому, що застосовується в Windows NT, але
використовує секретний ключ більшої довжини.
· Radmin
контролює коректність і безпеку настройки серверної частини програми. Radmin
Server 2.2 не дозволяє задати порожній пароль.
· Захист пароля
серверної частини. Radmin Server 2.2 активно захищає свої настройки, що
зберігаються в системному реєстрі. Доступ до відповідної вітки реєстру
дозволений тільки користувачам з правами адміністратора.
· Підтримка
протоколювання, при якому вся робота Radmin Server докладно відображається в
лог-файлі.
· Radmin Server
має власну таблицю IP-фільтрації, використовуючи яку можна обмежити доступ до
Radmin Server рядом спеціально заданих в ньому хостів або підмереж.
· У Radmin
включені процедури самотестування, що захищає програмний код від змін.
·
Інтелектуальний захист від підбору пароля. У версії 2.2 додані такі заходи
захисту, як затримки при підозрі на перебір пароля, блокування підозрілих
ІР-адресів і т.д.
· В середовищі
Windows NT/2000/XP/2003 встановити Radmin Server 2.2 можна тільки як системну
службу. В цілях підвищення безпеки можливість запускати Radmin як стандартний
додаток заблокована.
Для перегляду, або зміни настройок безпеки Radmin
необхідно відкрити діалогове вікно Настройки Remote Administrator Server
(Settings for Remote Administrator server) і натиснути кнопку Авторизація… (Set
password…). Потім включити прапорець Включить NT security (Enable NT ) і
натиснути кнопку Права (Permissions).
Стандартне вікно призначення прав (Permission for Radmin
Server) дозволяє адміністратору надавати право з'єднання різних типів (рис.
3.1).
Право переадресації (Redirect) дозволяє підключення
тільки з використовуванням опції “Подключиться через” (Connect through host).
Давати користувачам право “Переадресації” рекомендується на комп'ютерах, які
використовуються як проміжний сервер, що надає доступ до Radmin Server на
іншому ПК. Клієнт з правом переадресації повинен підключитися до головного
серверу, вказавши проміжний сервер в полі “Подключиться через” (інакше клієнту
буде відмовлено в доступі). При цьому проміжний сервер перенаправить запит на
кінцевий сервер.
119.
Підключення до мережі
інтернет. Типи підключень.
120.
Налаштування доступу
до мережі інтернет з комп'ютерного класу.
Комментариев нет:
Отправить комментарий